Utnytte

En utnyttelse ( engelsk å utnytte utnytte ') er i elektronisk databehandling for å utnytte en systematisk måte, sårbarheter i å utvikle et program har sitt utspring. Ved hjelp av programkoder utnyttes sikkerhetshull og funksjonsfeil i programmer (eller hele systemer), hovedsakelig for å få tilgang til ressurser eller for å trenge inn i eller svekke datasystemer . En null-dagers utnyttelse er utnyttelse av et sikkerhetshull som en oppdatering ennå ikke er tilgjengelig for fra produsenten av komponenten.

Generell

En utnyttelse blir ofte bare utviklet og dokumentert for å avsløre et sikkerhetsgap. Målet er å gjøre det mulig for programvareprodusenter å gjenkjenne og lukke et sikkerhetsgap raskere. Bare beskrivelsen av en utnyttelse blir ofte referert til som en utnyttelse.

Eksempelvis utnytter utnyttelsen av det faktum at datamaskiner med Von Neumann-arkitektur - nesten alle hjemme- og kontorcomputere - ikke skiller mellom programkode og brukerdata. For eksempel, i tilfelle bufferoverløp, skrives angriperens kode til et minneområde som ikke er ment for dette formålet, noe som kan manipulere kjøringen av applikasjonen. En annen mulighet er formatstrengangrep , der ufiltrert brukerinngang sendes til formateringsfunksjoner som f.eks printf(). En angriper kan ofte utføre sin egen kode som for eksempel gir ham et skall med privilegiene til den utnyttede applikasjonen.

klassifisering

Utnyttelser blir vanligvis referert til som følger:

• Lokale bedrifter
• Eksterne utnyttelser
• DoS utnytter
• Kommandoutførelse utnytter
• SQL-injeksjon utnytter
• Nulldagers utnyttelse

Aspekt type angrep

Lokale bedrifter

Lokale utnyttelser kan aktiveres når tilsynelatende helt ufarlige filer (f.eks. Office-dokumenter ) åpnes hvis applikasjonen som er tildelt filtypen, har et sikkerhetshull på grunn av feil eller feil behandling av filen. Det meste av tiden prøver en utnyttelse (for eksempel i et PDF- dokument eller som en makro i en Word- eller Excel-fil) først å utnytte sikkerhetshull i programmet som ble brukt til å lese filen for å oppnå et høyere nivå av privilegium og dermed konvertere skadelig kode til å laste inn og kjøre operativsystemet. Den faktiske handlingen som utnyttelsen utfører, er kjent som nyttelasten . Med mange utnyttelsesrammer (for eksempel Metasploit ) kan nyttelasten konfigureres separat. Imidlertid kan det også være fast forankret i utnyttelsen.

Eksterne utnyttelser

En aktiv form for utnyttelse er angrep fra Internett ved hjelp av manipulerte datapakker eller spesielle datastrømmer på svake punkter i nettverksprogramvaren. Slike utnyttelser blir noen ganger referert til som eksterne bedrifter.

Benektelse av tjenestenekt

Vanligvis er de første utnyttelsene som er publisert for et kjent sikkerhetshull , såkalte DoS- utnyttelser, som overbelaster applikasjonen det gjelder , men ikke inkluderer utførelse av tredjeparts programkode og ingen opptrapping av privilegier .

Kommandoutførelse utnytter

Kommandoutførelsesutnyttelse karakteriserer karakteristikken ved utførelse av programkode på målsystemet som kan kontrolleres av angriperen. For å lykkes med å utføre en slik utnyttelse, må programmereren vite om forskjellige særegenheter ved tildelingen av minnet til målapplikasjonen. Han oppnår denne kunnskapen gjennom åpne kilder til programkoden eller gjennom bare testing. Han må smart plassere koden sin for å kunne utføre den. Kommandoutførelsesutnyttelser er vanligvis veldig farlige, da applikasjonene det gjelder, vanligvis har betydelige rettigheter til systemet og angriperens kode startes med nettopp disse rettighetene.

SQL-injeksjon utnytter

SQL-injeksjon -Exploits er en spesiell type exploits og finner hovedsakelig bruk i webapplikasjoner som en SQL - database bruker, da de er veldig lett tilgjengelige på Internett, men det er i prinsippet mulig for alle applikasjoner som får tilgang til en SQL-database, farlig. I dette tilfellet gjøres forespørsler i en lagarkitektur på en slik måte at det presentasjonslaget som fungerer feil eller som ikke fungerer korrekt , returnerer eller skriver data som det ikke skal gjøre tilgjengelig for lese- eller skrivetilgang. For eksempel kan oppføringer i et påloggingsskjema utformes på en slik måte at den aktuelle applikasjonen fremdeles med hell logger inn en ugyldig bruker, eller datafelt kan spesifikt sendes ut fra databasen for f.eks. B. å sende passordene eller e-postadressene til alle registrerte brukere. Hvis brukerinnganger i programgrensesnitt ikke er tilstrekkelig kontrollert for gyldighet (for eksempel at de ikke inneholder noen SQL-kommandoer eller deler av disse) og er filtrert, kan det oppstå et SQL-injeksjonsgap.

Eksempler

• I oktober 2014 kunne Sony Playstation-nettverket nås via et SQL-injeksjonsgap for å lese kundedata.
• Den populære blogg system og content management system WordPress ble rammet av en sårbarhet SQL-injeksjon i Slimstat analytics plug-in, som sikkerhetsekspert Marc-Alex Montpas oppdaget i februar 2015. Dette satte over en million nettsteder i fare for å bli hacket .

Aspekt tidsintervall

Nulldagers utnyttelse

En null-dagers utnyttelse er en utnyttelse som brukes før en oppdatering er tilgjengelig som mottiltak. Utviklere har derfor ikke tid ("0 dager", engelsk null dag ) til å forbedre programvaren slik at utnyttelsen er ineffektiv for å beskytte brukerne. Hvis en person oppdager et sikkerhetsgap og ikke rapporterer det til programvareprodusenten, men utvikler en utnyttelse for å utnytte det, er programvaresårbarheten ofte bare kjent lenge etter det første angrepet. Fra hackere holdes null-dagers utnyttelse gjerne hemmelig for å utnytte dem lenge. Utenfor publikum handles null-dagers utnyttelse blant hackere, eller produsenter tilbys for store summer. Prisene har økt med en faktor på rundt 10 siden 2012. Helt siden regjeringsorganer har utarbeidet støtende cyberkrigsscenarier , har juridiske myndigheter og private sektororganisasjoner prøvd å identifisere utnyttelser for å sikre systemer ved å publisere oppdateringer - eller for å kunne skade fiendtlige systemer.

Som et forebyggende tiltak prøver eksperter å spore sikkerhetshull på forhånd og identifisere programvareprodusenter. Noen ganger blir dette kritisert i profesjonelle miljøer fordi testerne noen ganger bryter lover eller produsentens retningslinjer.

Eksempler

• Nulldagers utnyttelse blir mer vanlig på grunn av økende programvarekompleksitet og økende priser. I august 2012 ble det gitt ut en utnyttelse som enkelt slo av Java sikkerhetsbehandling . Dette gjorde at alle programmer kunne startes.
• Nesten alle Windows-versjoner ble berørt av et null-dagers sårbarhet i Microsoft Office- dokumenter i oktober 2014 .
• I november 2014 var det indikasjoner på at BND kjøpte null-dagers utnyttelse for å fange opp SSL- kryptering. Funksjonelle null-dagers utnyttelse for mye brukte programmer som Internet Explorer , Flash , Android eller iOS koster opp til $ 100.000. Det antas at opptil 4,5 millioner euro ble gjort tilgjengelig for kjøpet (under kodenavnet "Swop") i 2015.
• Presidiums arbeidsgruppe "Databeskyttelse og IT-sikkerhet" i Gesellschaft für Informatik kritiserte det faktum at BSI skulle samle inn null dagers utnyttelse, men ikke trenger å publisere dem. Hvis den ikke ble publisert, ville tyske selskaper og privatpersoner bli utsatt for IT-angrep uten beskyttelse, og selskaper truet med tap på milliarder av euro.
• Google publiserte dokumentasjon på alle null-dagers utnyttelse kjent for publikum siden 2014.

Mottiltak

Minnevern er ofte omtalt som en mottiltak. Dette er imidlertid ikke riktig, fordi frosne minner kan leses ut med forskjellige programmer. På samme måte kan et angrep basert på eksisterende funksjonalitet oppdages ved hjelp av innbruddsdeteksjonssystemer eller også forhindres ved hjelp av innbruddsforebyggende systemer ; Et slikt system beskytter imidlertid ikke mot utnyttelse av en systematisk, ukjent feil i programvaren. Det grunnleggende problemet er ofte feil programmering (f.eks. På grunn av bruk av hengende pekere ) eller, enda vanskeligere å oppdage, en systematisk, vanligvis svært kompleks feil i arkitekturen til programmet eller et helt system. Den eneste løsningen på slike problemer vil være å unngå sikkerhetsgap forårsaket av behandlingsfeil under utviklingen, noe som er praktisk talt umulig med dagens systemer. Administrert kode gir en viss beskyttelse; dette forhindrer effektivt bufferoverløp , for eksempel . Men dette er bare en delvis løsning på det overordnede problemet. Komplekse systemer som er satt sammen av forskjellige produsenter og underleverandører består av mange lag med maskinvare og programvare, noe som gjør det ekstremt vanskelig å finne svake punkter under utviklingen. Derfor fortsetter søket etter svake punkter vanligvis under operasjonen, lenge etter beta-fasen. Dette søket er eksistensielt viktig i ekstremt kritiske systemer der menneskeliv står på spill, f.eks. B. i biler, tog, fly og skip, som alle inneholder programvare (for det meste i form av firmware ), som i prinsippet kan angripes.

Eksempler

• På Blackhat- konferansen 2014 ble hackbarheten til 21 nåværende kjøretøyer undersøkt. Resultatet: Bluetooth- sendere, radiosignaler fra sentrallåsesystemet , alarmsystemer , dekktrykkovervåkingssystemer , Internett-tilkoblinger og infotainment - apper er spesielt utsatt for tilgang; det er en risiko for at bilen kan fjernstyres av hackere.

• Hackingen av en Jeep Cherokee viste at undersøkelsene på Blackhat-konferansen om hackers biler ikke bare var teoretiske . Sikkerhetsekspertene Charlie Miller og Chris Valasek lyktes i å ta kontroll over en slik jeep gjennom et svakt punkt i infotainment-systemet via Internett. Bremsene, akselerasjonen, dørlåsen, klimaanlegget og vindusviskerne kunne styres eksternt. I motsatt retning var det til og med mulig å styre rattet eksternt. Det bør også være mulig å bestemme den nøyaktige plasseringen av det hackede kjøretøyet uten tillatelse fra bileieren. Dette svake punktet er nå utbedret med en oppdatering , som imidlertid må installeres av bileieren ved hjelp av en USB-pinne eller av et verksted.

Se også

• Cracker (datasikkerhet)
• Hackere (datasikkerhet)
• Bufferoverløp
• Shellcode
• Metasploit
• Svart hull

Individuelle bevis

1. ↑ Tatort Internett - PDF med tidsbombe - Heise Security . Hentet 15. februar 2013.
2. ↑ PDF-utnyttelse for Adobe Reader . Anonym. Arkivert fra originalen 6. januar 2014. Info: Arkivkoblingen ble automatisk satt inn og er ennå ikke sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. Hentet 16. februar 2013. @1@ 2Mal: Webachiv / IABot / pastie.org
3. ↑ Total virusanalyse av utnyttelsen . Hentet 16. februar 2013.
4. ^ SQL-injeksjon . PHP.net. Hentet 19. august 2011.
5. ↑ "Betydelig økning i SQL Injection Attacks". I: "Heise Security". Hentet 14. januar 2015 . 
6. ^ "Dødelig injeksjon". I: "Heise Security". Hentet 14. januar 2015 . 
7. ↑ "Sårbarhet gir tilgang til Sony kundedata". I: "Golem.de". Hentet 14. januar 2015 . 
8. ↑ Björn Greif: "Over en million WordPress-nettsteder truet av sårbarheter i SQL-injeksjon". I: "ZDNet". 25. februar 2015, åpnet 18. november 2015 . 
9. ↑ Nulldagers utnyttelse. (Ikke lenger tilgjengelig online.) I: "Viruslist.com". Arkivert fra originalen 2. februar 2012 ; Hentet 18. november 2011 . Info: Arkivkoblingen ble satt inn automatisk og har ennå ikke blitt sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. @1@ 2Mal: Webachiv / IABot / www.viruslist.com 
10. ↑ Det legitime sårbarhetsmarkedet (PDF; 289 kB) Independent Security Evaluators, Charles Miller. Arkivert fra originalen 24. mars 2012. Info: Arkivkoblingen ble satt inn automatisk og er ennå ikke sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. Hentet 18. november 2011. @1@ 2Mal: Webachiv / IABot / securityevaluators.com
11. ↑ Patrick Beuth: Den perfekte iPhone-hackingen koster to millioner dollar , SPIEGEL online fra 10. februar 2018
12. ↑ Tom Simonite: Velkommen til Malware-Industrial Complex , MIT Technology Review, 13. februar 2013
13. ↑ Metasploit legger fordeler på utnyttelser . Varmt. Hentet 18. november 2011.
14. ↑ Arkiv kobling ( Memento av den opprinnelige fra 17 februar 2013 i Internet Archive ) Omtale: The arkivet koblingen ble satt inn automatisk og har ennå ikke blitt sjekket. Kontroller originalen og arkivlenken i henhold til instruksjonene, og fjern deretter denne meldingen. @1@ 2Mal: Webachiv / IABot / pastie.org
15. ↑ "Vulkanutbrudd på Java - Java 0-dagers utnyttelse under mikroskopet". I: "Heise Security". Hentet 14. januar 2015 . 
16. ↑ "Java 0-dagers analyse (CVE-2012 til 4681)". I: "Immunitetsprodukter". Hentet 7. februar 2013 . 
17. ↑ "Zero-Day Gap in Windows". I: "Heise Security". Hentet 24. oktober 2014 . 
18. ↑ "Lytte til SSL: Kritikk av BNDs planer om null-dagers utnyttelse". I: "Heise Security". Hentet 11. november 2014 . 
19. ↑ "IT-sikkerhetsloven skaper usikkerhet". I: "Society for Computer Science". Hentet 19. november 2014 . 
20. ↑ "0day In the Wild". I: Google Project Zero. Hentet 15. mai 2019 . 
21. ↑ "Black Hat: Angrep på fly, tog og biler". I: "Kaspersky lab daglig". Hentet 25. november 2014 . 
22. ↑ "Hackerangrep på biler - fjernkontroll via bærbar PC: Disse bilmodellene er enkle å manipulere". I: "Fokus". Hentet 4. desember 2014 . 
23. ↑ Ronald Eikenberg: "Hackere kontrollerer Jeep Cherokee eksternt". I: "Heise Security". 22. juli 2015, åpnet 16. november 2015 . 
24. ^ "Andy Greenberg": "Hackers Remotely Kill a Jeep on the Highway - With Me in It". I: "Wired.com". 21. juli 2015, åpnet 16. november 2015 .